在 HTTPS 已成标配的今天,SSL/TLS 证书的管理却依然是很多团队的痛点:申请、上传、续期、验证,一步出错,可能导致整站访问异常。过去,我们已经介绍过两种常见做法:使用 Let’s Encrypt 自动签发证书,或在 Edge 控制台手动上传 SSL 证书。本文将介绍一种新的证书管理方式,即通过 OpenResty Edge 的 ACME 模块实现证书管理。

申请试用 OpenResty Edge

ACME 模块是什么?

在现代网站架构中,SSL/TLS 证书的申请、更新与管理,是保障业务安全的重要一环。但对运维团队而言,这一过程往往既繁琐又容易出错。

OpenResty Edge 中,ACME(Automatic Certificate Management Environment)模块实现了 ACME 协议的核心能力,支持自动化证书管理与签发,帮助用户以更灵活、安全的方式管理大规模站点的证书生命周期。

该模块的主要功能包括:

  • 证书申请与自动更新:通过 ACME 协议全流程自动化完成证书申请、验证、续签。
  • 域名所有权验证:支持 HTTP-01 与 DNS-01 两种验证方式。
  • 与 ACME 服务器的交互与任务调度:统一管理证书签发任务,自动重试与轮询更新。
  • 证书存储、查询与发布:Edge 平台内置证书存储与分发机制,无需额外客户端。

为什么需要 ACME 模块

在过去,OpenResty Edge 用户通常通过两种方式配置 SSL/TLS 证书:手动上传证书,或使用 Let’s Encrypt(LE)自动签发。这两种方式的局限性在于:

  • Let’s Encrypt 速率限制:单账号或单域名签发频率受限;
  • 证书来源单一:无法满足多 issuer 或企业内部 CA 的需求;
  • 管理复杂:多租户、多域名场景下证书更新容易出错。

通过 ACME 模块管理证书可以:

  • 突破 LE 限制:支持多个 issuer 与多账号配置,轻松应对签发频率限制。
  • 灵活的 CA 选择:除 Let’s Encrypt 外,还可选择 ZeroSSL、Buypass,或自建 ACME 服务。
  • 一体化管理:在 Edge 平台统一查看、分发与更新证书,减少运维负担。

ACME 模块的使用方法

首先在全局配置页面的证书签发商中,添加证书签发商信息。

Screenshot

然后在应用的 SSL 页面,选择为整个应用授予一个全局证书,或者通过点击添加证书按钮为应用添加一个特定的 SSL 证书。

Screenshot

点击添加证书按钮后,使用符合 ACME 协议的其他证书发行者生成证书。

Screenshot

您也可以使用其他 ACME 发行商自动签发证书。签发证书前,请确保您的域名 DNS 已正确解析并指向您的 Edge Node 网关服务器。

Screenshot

您也可以如何为同一域名配置多个 ACME 证书,具体的流程步骤请参考:应用内证书

如果您想通过其他方式上传证书,可以参考:

  1. 使用 Let’s Encrypt 客户端自动签发证书
  2. 在 Edge 控制台手动上传 SSL 证书

最佳实践与常见问题

Q1. 支持通配符证书吗?

支持,通过 DNS-01 验证方式实现。

Q2. 与手动上传证书能否共存?

可以,ACME 模块可与手动证书共同管理,不影响现有部署。

Q3. 更新失败怎么办?

ACME 模块具备重试与回滚机制,可手动触发重新申请。

关于 OpenResty Edge

OpenResty Edge 是一款专为微服务和分布式流量架构设计的全能型网关软件,由我们自主研发。它集流量管理、私有 CDN 构建、API 网关、安全防护等功能于一体,帮助您轻松构建、管理和保护现代应用程序。OpenResty Edge 拥有业界领先的性能和可扩展性,能够满足高并发、高负载场景下的苛刻需求。它支持调度 K8s 等容器应用流量,并可管理海量域名,轻松满足大型网站和复杂应用的需求。

申请试用 OpenResty Edge

如果你喜欢这个教程,请订阅这个博客网站和我们的 B 站频道。谢谢!

关于作者

章亦春是开源 OpenResty® 项目创始人兼 OpenResty Inc. 公司 CEO 和创始人。

章亦春(Github ID: agentzh),生于中国江苏,现定居美国湾区。他是中国早期开源技术和文化的倡导者和领军人物,曾供职于多家国际知名的高科技企业,如 Cloudflare、雅虎、阿里巴巴, 是 “边缘计算“、”动态追踪 “和 “机器编程 “的先驱,拥有超过 22 年的编程及 16 年的开源经验。作为拥有超过 4000 万全球域名用户的开源项目的领导者。他基于其 OpenResty® 开源项目打造的高科技企业 OpenResty Inc. 位于美国硅谷中心。其主打的两个产品 OpenResty XRay(利用动态追踪技术的非侵入式的故障剖析和排除工具)和 OpenResty Edge(最适合微服务和分布式流量的全能型网关软件),广受全球众多上市及大型企业青睐。在 OpenResty 以外,章亦春为多个开源项目贡献了累计超过百万行代码,其中包括,Linux 内核、Nginx、LuaJITGDBSystemTapLLVM、Perl 等,并编写过 60 多个开源软件库。

关注我们

如果您喜欢本文,欢迎关注我们 OpenResty Inc. 公司的博客网站 。也欢迎扫码关注我们的微信公众号:

我们的微信公众号

翻译

我们提供了英文版原文和中译版(本文)。我们也欢迎读者提供其他语言的翻译版本,只要是全文翻译不带省略,我们都将会考虑采用,非常感谢!